랜섬웨어의 개념 및 예방조치

 

랜섬웨어란?

랜섬웨어(Ransomware)는 사용자의 파일이나 시스템을 암호화하거나 접근을 제한한 뒤, 이를 해제하는 대가로 금전(주로 암호화폐)을 요구하는 악성코드(Malware)입니다.

 

랜섬(Ransom)은 인질을 풀어주는 대가로 요구하는 몸값이라는 뜻이고,

웨어(Ware)는 소프트웨어를 의미합니다.

 

따라서 랜섬웨어는 데이터를 인질로 잡고 금전을 요구하는 악성 소프트웨어 입니다.

 

주요 동작 원리

1. 감염 단계

• 이메일 첨부파일, 악성링크, 취약한 원격 데스크톱(RDP), 드라이브 바이 다운로드 등을 통해 감염

2. 탐색 및 암호화

• 시스템 내부 및 네트워크 공유 드라이브를 탐색하여 중요 파일(문서, 이미지, 데이터베이스 등)을 선별
• 고급 암호화 알고리즘(AES, RSA 등)을 사용하여 파일을 암호화
• 원본 파일 삭제 또는 이름 변경

3. 협박 및 요구

• 바탕화면이나 텍스트 파일로 랜섬 노트(Ransom Note)를 표시
• 특정 기간 내에 비트코인 등 암호화폐로 금전을 요구
• 지불 시 복호화 키를 제공하겠다고 주장

 

암호화 방식

• 대칭키 암호화(AES 등) : 빠르게 파일을 암호화함. 키가 유출되면 복호화 가능
• 비대칭키 암호화(RSA 등) : 공격자만 복호화 키를 보유. 더 안전한 방식
• 일부는 하이브리드 방식(AES + RSA) 사용

 

대표적인 랜섬웨어 종류

이름	특징
WannaCry	SMB 취약점(EternalBlue) 악용, 전 세계적 확산
Petya/NotPetya	MBR 감역으로 부팅 불가, 파괴적 성격 강함
Locky	이메일 첨부파일을 통해 빠르게 확산
Ryuk	기업 대상 표적 공격, 높은 몸값 요구
Maze	암호화 + 데이터 유출로 이중 협박
Conti	빠른 암호화와 네트워크 확산 능력

 

 

랜섬웨어의 기술적 방지 조치

1. 백업 및 복구 시스템 구축

• 정기적인 백업 : 주요 데이터를 주기적으로 백업하고, 백업 파일은 물리적으로 또는 논리적으로 분리된 위치
  (ex. 오프라인 또는 클라우드)에 저장
• 백업 무결성 검증 : 복구 가능 여부를 정기적으로 테스트

2. 최신 보안 업데이트 적용

• 운영체제 및 소프트웨어 업데이트 : 알려진 취약점을 악용한 공격 차단
• 서드파티 앱도 최신 패치 유지

3. 악성코드 탐지 및 방어시스템 운영

• 차세대 안티 바이러스(NGAV) 및 EDR(Endpoint Detection & Response) 솔루션 도입
• 행위 기반 탐지 : 파일 암호화 등 이상 행위 탐지 시 즉시 차단
• 네트워크 기반 탐지(NDR) : 비정상적인 트래픽 모니터링 및 경고]

4. 네트워크 및 시스템 접근 통제

• 최소 권한 원칙(Least Privilege) 적용
• 관리자 계정 분리 및 다중 인증(MFA) 적용
• 방화벽/IPS 설정 강화 : 외부와의 불필요한 연결 차단
• SMB/FTP/RDP 등 취약 서비스 비활성화 또는 접근 제한

5. 이메일 및 웹 보안 강화

• 스팸 필터링 및 첨부파일/링크 분석 솔루션(SandBox) 적용
• 이메일 인증 기술(DMARC, DKIM, SPF) 활요 
• 웹 필터링으로 악성 사이트 접근 차단

6. 애플리케이션 제어 및 화이트리스트 사용

• 허용된 애플리케이션만 실행 가능하도록 제한
• 스크립트/매크로 자동 실행 차단 :  MS Office나 PowerShell, JavaScript 등 제한

7. 보안 로그 모니터링 및 이상행위 감지

• SIEM 등의 로그 통합 분석 솔루션으로 이상 행위 실시간 감지
• 파일 암호화 속도 급증, 확장자 변경 등의 징후 분석

8. 네트워크 분리 및 가상화

• 업무망과 인터넷망 분리(물리적 또는 논리적)
• 중요 자산은 VDI, 가상환경 등 격리된 환경에서 운용

9. 취약점 점검 및 모의훈련

• 정기적은 보안 취약점 스캔 및 점검
• 랜섬웨어 대응 훈련 및 시뮬레이션